Privacy e GDPR: chi è il Titolare del trattamento? E il responsabile?

Cosa troverai in questo articolo?

Titolare e responsabile del trattamento sono due figure fondamentali nel gdpr. In questo articolo ti raccontiamo che funzioni hanno e che differenza c'è fra le due figure.
Condividi su facebook
Condividi su linkedin
Condividi su whatsapp
Condividi su telegram
Condividi su email

Contenuti dell'articolo

Ti è mai capitato di leggere un’informativa privacy o di doverne produrre una e avere dubbi su cosa significasse davvero “titolare del trattamento” o “responsabile del trattamento”?

Hai mai avuto dei dubbi nell’informativa da dare ai tuoi fornitori, non sapendo se dovessi considerarli titolari del trattamento o responsabili del trattamento?

O, più in generale, ti sei mai chiesto “chi è il titolare del trattamento?” o “chi è il responsabile?” “come dovrei distinguerli?” “che differenze ci sono tra i due?”

Se ti sei mai chiesto chi è il titolare del trattamento e chi è il responsabile, che funzioni hanno e che differenze ci sono…beh, sei nel posto giusto.

Vediamo di fare chiarezza una volta per tutte.

Chi è il titolare del trattamento

Per essere il più precisi possibile, è sempre bene partire dalle fonti ufficiali. Ecco, quindi, cosa dice il gdpr sul titolare del trattamento:

«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

Puoi trovare la definizione di titolare del trattamento all’art 4 n°7 del gdpr.

Ora, vediamo di dare un senso a questa definizione:

Secondo il gdpr, il titolare del trattamento può essere una persona fisica o giuridica, il che significa che se i dati vengono gestiti da un’azienda è l’azienda ad essere titolare del trattamento.

Ma cosa caratterizza un titolare del trattamento?

L’articolo del gdpr riporta: “determina le finalità e i mezzi del trattamento di dati personali.

Detta così non ti sembra abbastanza chiaro? Hai ragione, cerchiamo di spiegarci meglio.

Il titolare del trattamento è colui che decide come tratta e cosa fare dei dati che acquisisce.

Vediamo di fare un po’ di esempi.

Il dentista che ha un proprio studio è il titolare del trattamento dei dati dei suoi pazienti, perché è lui che decide come gestire quei dati (per quanto tempo conservarli, chi ne deve prendere visione ecc.).

L’azienda “Scarpefavolose s.r.l.” è titolare dei dati dei suoi clienti (perché è l’azienda che decide quali dati chiedere ai suoi clienti, come gestirli, se mandare delle comunicazioni ecc.).

Nella gestione dei tuoi dati aziendali è molto importante che tu rimanga l’unico titolare del trattamento, a meno che non sia strettamente necessario il contrario.

Spesso, però, non tutti i trattamenti dei dati possono essere fatti all’interno della tua azienda.

Può capitare, infatti, che il titolare del trattamento debba cedere parte dei suoi dati per fisiologia del lavoro. Quale esempio?

Ogni volta che commissioni delle attività di marketing ad una agenzia esterna, per esempio, essa prende visione di una buona parte dei dati aziendali.

Il commercialista prende visione di altri dati, così come il consulente del lavoro.

In tutti questi casi, i dati di cui sei titolare vengono gestiti da terzi.

Se nel caso del commercialista e del consulente del lavoro anch’essi diventano titolari di quelle parti di dati di cui prendono visione, essendo assolutamente necessario per loro poter decidere come trattare i dati, per la natura del lavoro (sempre ovviamente prestando la garanzia di non cederli a loro volta a terzi), non è altrettanto vero nel caso dell’agenzia di marketing.

In questo secondo caso, infatti, è raccomandabile che l’agenzia che cura il marketing della tua azienda sia designato responsabile del trattamento, e non autonomi titolari.

So a cosa stai pensando. Era a malapena chiaro cosa fosse il titolare del trattamento, che c’entra adesso il responsabile?

Chi è il responsabile del trattamento

Come per il titolare del trattamento, partiamo dalla definizione offerta dal gdpr, all’art. 4:

«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento

In questo caso il regolamento utilizza poche parole quando deve dare la definizione: il responsabile del trattamento è colui che tratta i dati per conto del titolare.

Questo significa due cose:

  1. Che un responsabile non è libero di definire la finalità del trattamento dei dati
  2. Che il titolare deve indicare queste finalità, perché affida quei dati ad un’altra persona (il responsabile) ma rimane a lui la sfera decisionale di cosa farci e come farlo.

Maggiori dettagli sono dati dal gdpr all’art. 28, articolo interamente dedicato alla figura del responsabile del trattamento.

Chi è, quindi, il responsabile del trattamento?

Il responsabile del trattamento dei dati è una figura che affianca il titolare del trattamento nella gestione di alcuni dati aziendali.

Il responsabile del trattamento è quindi una figura di sostegno che deve dare al titolare della garanzie di idoneità e di sicurezza nella gestione dei dati del titolare.

Un esempio?

Torniamo all’azienda Scarpefavolose s.r.l. e all’agenzia di marketing a cui si rivolgono.

L’azienda svolge, per conto di Scarpefavolose, delle campagne pubblicitarie finalizzate all’acquisizione di nuovi clienti dell’ecommerce che hanno appena creato, oltre a questo si occupa anche dell’impostazione del crm, la piattaforma attraverso cui Scarpefavolose gestisce i propri clienti, sia quelli del negozio online che quelli del negozio fisico.

Scarpefavolose si è accordata con l’agenzia di marketing che ha in gestione vari account aziendali.

L’agenzia di marketing, quindi, gestisce il budget pubblicitario, vede i nomi dei clienti e dei potenziali clienti online, nonché tutti i nominativi dei clienti del negozio offline che decidono di iscriversi alla newsletter per riceve offerte esclusive.

Questo significa che l’agenzia di marketing può non solo visionare, ma anche gestire quei dati personali.

Ora, se Scarpefavolose ha nominato la sua agenzia responsabile del trattamento e nell’atto di nomina le ha dato delle istruzioni, l’agenzia non potrà (se non facendo un inadempimento) fare dei dati di Scarpefavolose ciò che vuole.

Al contrario, in quanto titolare sarai tu a dire come devono essere trattati i dati, i criteri di sicurezza idonei alle categorie trattate o per quanto tempo l’agenzia è autorizzata a conservare quei dati.

Ma se, al contrario, questo aspetto non è stato regolato o l’agenzia è diventata autonoma titolare dei dati dei clienti di Scarpefavolose tecnicamente, può comportarsi come preferisce.

Ad esempio potrà conservare quei dati secondo le sue regole, e non quelle di Scarpefavolose, oppure potrà utilizzarli per altri fini (anche se, non avendo lei raccolto il consenso si creerebbero problemi sia per l’agenzia che per Scarpefavolose, che ha ceduto quei dati).

Come regolare i rapporti tra titolare e responsabile del trattamento

Dopo aver individuato quali sono i rapporti da regolare, ciò di cui hai bisogno è un processo semplice ed efficace che ti permetta di automatizzare le nomine e ti assicuri una corretta archiviazione dei documenti.

Un primo passo è quello di identificare sulla tua piattaforma di gestione i tuoi fornitori, e specificare chi tra loro deve essere nominato responsabile del trattamento.

In secondo luogo, potrai impostare un processo di monitoraggio dello stato di avanzamento del processo.

Per ultimo, ti servirò un luogo dove poter archiviare in modo chiaro le nomine effettuate.

E tu? Ti assicuri che la tua agenzia di marketing e gli altri fornitori siano designati responsabili?

Fornisci loro direttive e istruzioni su come trattare i dati? Chiedi adeguate garanzie di sicurezza?

Hai ancora qualche dubbio su titolare e responsabile del trattamento?

Compila il form qui sotto con le tue domande, sarò felice di risponderti!

Iscriviti alla newsletter

Scopri altri articoli simili...

Condividi su facebook
Condividi su linkedin
Condividi su whatsapp
Condividi su telegram